代码安全问题频现，防控迫在眉睫

2010 年，大型社交网站 rockyou.com 被曝存在 SQL 注入漏洞，黑客利用此漏洞获取到 3200 万用户记录；2015 年，英国电话和宽带供应商 TalkTalk 被一名 15 岁的黑客利用 SQL 注入漏洞进行攻击，泄露近 400 万客户资料；2018 年，万豪泄漏 3.39 亿客人个人信息，被处以 1840 万英镑（约合人民币 1.6 亿元）罚款。

根据 WhiteHat Security 的一项研究表明，各个行业所使用的应用程序中，至少有 50％ 包含一个或多个严重的可利用漏洞，这些层出不穷的安全漏洞将会对企业的生产运营构成重大威胁。但传统的静态应用程序安全性测试（SAST）往往需要较长的扫描分析时间，稍大的项目经常需要花费好几小时来进行扫描，实时性较差，在版本迭代快速的 Web 应用开发中严重拖慢整条流水线；同时误报率也较高，同一个漏洞多次报警的情况更是常有发生，开发团队需要耗费大量资源来确认并去除这些误报，导致团队无法敏捷地融入到 DevSecOps 中。

DevSecOps 是 Gartner 在 2012 年就提出的概念。它的目标是将安全嵌入到 DevOps 的各个流程中去（需求，架构，开发，测试等），从而实现安全的左移，让所有人为安全负责，将安全性从被动转变为主动，最终让团队可以更快速地开发出更安全的产品。

面对潜在的产品安全隐患与实现 DevSecOps 的层层挑战，如何推动“安全左移”、如何通过在 DevOps 的基础上平稳建设 DevSecOps 以保障开发安全，已成为企业研发团队需要重点关注的课题。

CODING x Xcheck，全面强化代码安全能力

CODING 代码扫描自开放试用以来，已累计为 5000+ 团队提供扫描服务，通过分析代码仓库中的源代码，帮助开发团队及时发现其中潜藏的代码缺陷、安全漏洞以及不规范代码；并且自动生成问题列表，附带修改建议，便于团队成员快速修复问题，提升代码稳定性；还通过对代码进行度量，统计出结构异常复杂的方法及重复代码供开发人员调整，进而提升代码可维护性。

而在助力企业建设 DevSecOps 的道路上，CODING 代码扫描也在不断深耕，本次更新在原有代码可靠性、代码规范扫描能力的基础上，针对代码安全进行了全面强化，集成腾讯 CSIG 自研静态应用安全测试工具 -Xcheck，开放腾讯内部强大的研发能力，帮助研发团队精准检测业务代码，及时发现并规避安全风险。

Xcheck 基于成熟的污点分析技术，以及对抽象语法树的精准剖解，通过巧妙优雅的方式实现污点的传递和跟踪。经测试，在 4 核 16G 的 Linux 云主机上，Xcheck 对项目的检查速度在 1w+ 行/s，部分项目可以达到 2w+ 行/s，同时经过对 Xcheck 投喂大量项目进行误报优化，目前 Xcheck 各语言的误报率已低于 10%，作为一个轻量化插件，Xcheck 在减少对使用者的打扰下，能够更快速准确地发现潜藏在代码中的安全风险，全方位帮助研发团队安全生产代码，保障代码安全。

一键启用，为企业数字化资产保驾护航

现在基于 CODING 代码扫描，您就可以享受到 Xcheck 身经百战的代码安全分析能力。前往 CODING，在「代码扫描 - 扫描方案」 中一键启用 Xcheck 规则包即可开始进行代码安全检测，无需额外设置，操作简单便捷，目前已支持 Java 语言，Python、PHP、Go、JS 等语言将在 4 月陆续支持。

借助 CODING 代码扫描及 Xcheck 的强大能力，开发人员能够提前发现并迅速采取行动解决安全漏洞，将安全风险左移至开发阶段解决，大幅减少返修成本，缩短交付周期，帮助团队更高效地开发出安全系数更高的产品，同时也避免了企业遭受因应用安全事件导致的声誉及资产损失，为企业数字化资产保驾护航。

目前 CODING 代码扫描功能试用持续开放中，点击阅读原文即可立即体验。关注 CODING 公众号，后续将会分享更多代码安全漏洞实战案例，助力您的团队更好地实践 DevSecOps，敬请期待！

推荐阅读：

1、CODING 帮助文档 - 代码扫描功能介绍： https://help.coding.net/docs/host/code-scan/introduce.html

2、CODING 帮助文档 - Xcheck 工具： https://help.coding.net/docs/host/code-scan/xcheck.html

3、了解 Xcheck 更多信息及代码安全审计相关技术，关注 Xcheck 公众号： 腾讯代码安全检查 Xcheck